史無前例！丨Cloudflare 成功抵抗有史以來最大規(guī)模的攻擊

Cloudflare 的自主邊緣 DDoS 保護(hù)系統(tǒng)自動(dòng)檢測并緩解了以上攻擊，以及下文提到的其他攻擊。這個(gè)系統(tǒng)由我們本機(jī)資料中心緩解系統(tǒng)（dosd）驅(qū)動(dòng)。dosd 是我們自己研發(fā)的軟件定義后臺(tái)程序。在我們分布在全球各地的數(shù)據(jù)中心每一臺(tái)服務(wù)器中，都運(yùn)行著唯一的 dosd 實(shí)例。每個(gè) dosd 實(shí)例都會(huì)對(duì)流量樣本進(jìn)行路徑外分析。通過在路徑外分析流量，我們可在不造成延遲和影響性能的情況下異步檢測 DDoS 攻擊。DDoS 檢測結(jié)果也會(huì)在同一數(shù)據(jù)中心內(nèi)部的不同 dosd 之間共享，這是主動(dòng)威脅情報(bào)共享的一種形式。

一旦檢測到攻擊，我們的系統(tǒng)就會(huì)產(chǎn)生一條緩解規(guī)則，其中附帶與攻擊模式匹配的實(shí)時(shí)特征。該規(guī)則將被傳播至技術(shù)堆棧中的最佳位置。例如，容量耗盡 HTTP DDoS 攻擊可在第四層 Linux iptables 防火墻內(nèi)予以阻止，而非第七層在用戶空間運(yùn)行的 L7 反向代理內(nèi)。在堆棧的較低層進(jìn)行緩解更具成本效益，例如，在 L4 丟棄數(shù)據(jù)包，而非在 L7 以 403 錯(cuò)誤頁面響應(yīng)。這樣做能減少邊緣 CPU 消耗和數(shù)據(jù)中心內(nèi)部的帶寬使用，從而幫助我們在不影響性能的情況下緩解大規(guī)模攻擊。

這種自主方式，加上我們網(wǎng)絡(luò)的全球規(guī)模和可靠性，使我們能夠緩解達(dá)到我們平均每秒速率 68% 或以上的攻擊，而無需任何 Cloudflare 人員執(zhí)行手動(dòng)緩解，也不會(huì)造成性能出現(xiàn)任何下降。

這次攻擊是由一個(gè)強(qiáng)大的僵尸網(wǎng)絡(luò)發(fā)動(dòng)的，目標(biāo)是 Cloudflare 在金融行業(yè)的客戶。在短短幾秒鐘內(nèi)，這個(gè)僵尸網(wǎng)絡(luò)就使用了超過 3.3 億個(gè)攻擊請求對(duì) Cloudflare 邊緣進(jìn)行了轟炸。

這些攻擊流量源于全球 125 個(gè)國家/地區(qū)的 2 萬多個(gè)僵尸程序。根據(jù)僵尸程序的源 IP 地址，接近 15% 的攻擊流量源于印度尼西亞，另外 17% 源于印度和巴西。這表明，在以上國家/地區(qū)可能存在很多被惡意軟件感染的設(shè)備。

攻擊來源分布（主要國家/地區(qū)）

這個(gè) 1720 萬 rps 攻擊是 Cloudflare 迄今為止見到的最大規(guī)模 HTTP DDoS 攻擊，相當(dāng)于其他任一已報(bào)告 HTTP DDoS 攻擊的近三倍。然而，這個(gè)僵尸網(wǎng)絡(luò)在過去一段時(shí)間已經(jīng)出現(xiàn)過至少兩次。就在不久前，這個(gè)僵尸網(wǎng)絡(luò)還對(duì)另一個(gè) Cloudflare 客戶（一家托管服務(wù)提供商）發(fā)動(dòng)了一次峰值速率接近 800 萬 rps 的 HTTP DDoS 攻擊。

800 萬 rps 攻擊

前不久，一個(gè) Mirai 變體僵尸網(wǎng)絡(luò)發(fā)起了十多次基于 UDP 和 TCP 的 DDoS 攻擊，峰值多次超過 1 Tbps，最大峰值約為 1.2 Tbps。其中第一次 HTTP 攻擊的目標(biāo)是 Cloudflare WAF/CDN 服務(wù)上的客戶，而超過 1 Tbps 的網(wǎng)絡(luò)層攻擊針對(duì)于 Cloudflare Magic Transit 和 Spectrum 服務(wù)的客戶。其中一個(gè)目標(biāo)是位于亞太地區(qū)的主要互聯(lián)網(wǎng)服務(wù)、電信和托管服務(wù)提供商。另一個(gè)是游戲公司。在所有情況下，攻擊都被自動(dòng)檢測并緩解，無需人工干預(yù)。

峰值 1.2 Tbps Mirai 僵尸網(wǎng)絡(luò)攻擊

這個(gè) Mirai 僵尸網(wǎng)絡(luò)最初包含大約 3 萬個(gè)僵尸程序，隨后逐漸減少至約 2.8 萬個(gè)。然而，盡管數(shù)量有所減少，這個(gè)僵尸網(wǎng)絡(luò)依然能夠在短時(shí)間內(nèi)產(chǎn)生大規(guī)模的攻擊流量。在某些情況下，每次爆發(fā)僅持續(xù)數(shù)秒鐘。

與此同時(shí)，過去幾周內(nèi)，我們的網(wǎng)絡(luò)上檢測到的 Mirai 型 DDoS 攻擊也有所增加。僅在 7 月份，L3/L4 Mirai 攻擊就增加了 88%，L7 攻擊增加了 9%。此外，根據(jù)目前 8 月的日均 Mirai 攻擊數(shù)量，到月底時(shí)，L7 Mirai DDoS 攻擊和其他類似僵尸網(wǎng)絡(luò)攻擊的數(shù)量約增長 185%，而 L3/L4 攻擊將增長 71%。

Mirai 型 DDoS 攻擊月度變化

Mirai 在日語中意為 “未來”，是一種惡意軟件的代號(hào)，由非營利安全研究工作組 MalwareMustDie 在 2016 年首次發(fā)現(xiàn)。這種惡意軟件通過感染運(yùn)行 Linux 的設(shè)備（例如安全攝像頭和路由器）進(jìn)行傳播。然后它通過搜索開放的 Telnet 端口 23 和 2323 進(jìn)行自我傳播。一旦找到，它就會(huì)嘗試通過暴力破解已知憑據(jù)（例如出廠默認(rèn)用戶名和密碼）來訪問易受攻擊的設(shè)備。Mirai 的后期變體還利用了路由器和其他設(shè)備中的零日漏洞。一旦被感染，設(shè)備將監(jiān)控命令與控制 (C2) 服務(wù)器以獲取有關(guān)攻擊目標(biāo)的指令。

僵尸網(wǎng)絡(luò)操作者控制僵尸網(wǎng)絡(luò)來攻擊網(wǎng)站

雖然大部分攻擊時(shí)間短、規(guī)模小，我們繼續(xù)看到這種類型的容量耗盡攻擊更頻繁地出現(xiàn)。值得注意的是，對(duì)于沒有主動(dòng)型、始終啟用云保護(hù)的傳統(tǒng) DDoS 保護(hù)系統(tǒng)或組織而言，這些短暫爆發(fā)型攻擊可能尤其危險(xiǎn)。

此外，雖然短暫的持續(xù)時(shí)間一定程度上反映了僵尸網(wǎng)絡(luò)長時(shí)間維持流量水平的能力，人類可能難以或不可能對(duì)這種攻擊做出反應(yīng)。在這種情況下，安全工程師甚至還未來得及分析流量或激活其備用 DDoS 攻擊系統(tǒng)，攻擊就已經(jīng)結(jié)束了。這種攻擊凸顯了自動(dòng)型、始終啟用保護(hù)的必要性。

• 啟用 Cloudflare 服務(wù)，保護(hù)您的互聯(lián)網(wǎng)資產(chǎn)。

• DDoS 保護(hù)開箱即用，您也可以自定義保護(hù)設(shè)置。

• 遵循我們的預(yù)防性最佳實(shí)踐，以確保您的 Cloudflare 設(shè)置和源服務(wù)器設(shè)置都得到優(yōu)化。例如，確保您只允許來自 Cloudflare IP 范圍的流量。理想情況下，請您的上游互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 應(yīng)用訪問控制列表 (ACL)，否則，攻擊者可能會(huì)直接針對(duì)您服務(wù)器的 IP 地址并繞過您的保護(hù)。

1. 更改任何聯(lián)網(wǎng)設(shè)備的默認(rèn)用戶名和密碼，例如智能相機(jī)和路由器。這樣將降低 Mirai 等惡意軟件侵入您的路由器和物聯(lián)網(wǎng)設(shè)備的風(fēng)險(xiǎn)。

2. 使用 Cloudflare for Families 保護(hù)您的家庭免受惡意軟件的侵害。Cloudflare for Families 是一項(xiàng)免費(fèi)服務(wù)，可自動(dòng)阻止從您的家庭網(wǎng)絡(luò)到惡意網(wǎng)站的流量和惡意軟件通信。